L'audit SI, une contrainte imposée ou un vrai outil stratégique
Trop souvent les DSI subissent des audits imposés par la direction générale. L'audit peut être aussi une arme entre leurs propres mains.
PublicitéL'audit SI consiste en un rapport flash, c'est-à-dire une photo instantanée d'une situation à un instant donné permettant d'identifier les forces et les faiblesses d'une organisation et de travailler sur un plan d'action adéquat.
Une approche insuffisamment exploitée par le DSI
L'audit SI est la plupart du temps un exercice imposé à la DOSI par une Direction Générale ou une autorité de contrôle « externe ». L'objectif poursuivi peut être de chercher à débloquer une situation, de remettre sous contrôle certaines activités de la DOSI ou encore d'évaluer la performance au regard des meilleures pratiques du marché.
L'audit SI est souvent associé à l'image d'un diagnostic complexe, effectué par une équipe de consultants spécialisés et coûteux, alors qu'il est possible d'en faire un véritable outil de pilotage au service du DSI.
Présenté le plus souvent comme un « mal nécessaire », il peut être considéré comme un outil stratégique permettant de repositionner la DOSI et de lui offrir de vrais atouts d'évolution et d'amélioration.
Une analyse qui peut être simple et peu coûteuse
L'audit SI est une analyse qui devrait plus souvent s'inscrire en amont de la mise en place d'une stratégie SI, quelle qu'elle soit, permettant de mieux connaître le ou les clients, de comprendre leurs besoins, leurs objectifs, leurs capacités et de proposer une méthode d'action.
La concision est cruciale pour ce type d'intervention ; c'est l'une des clefs de sa réussite. Un audit SI ne devrait pas durer plus de 2 à 3 semaines.
Cette intervention doit être réalisée par des experts qui quadrillent de façon méthodique le périmètre d'activité de la DOSI en challengeant chacune des pratiques avec les meilleures pratiques du marché tout en restant indépendant par rapport aux différentes organisations et solutions du marché. Cela nécessite que ces experts aient une expérience approfondie des pratiques du marché et des connaissances sur les tendances actuelles.
Une cellule indépendante du DSI avec des connaissances avancées en informatiques peut très bien prendre en charge cette activité.
Les cabinets de conseil proposent souvent ce type de prestation du fait de leurs interventions auprès de différents acteurs du marché, et de leur veille stratégique sur les outils et méthodologies.
L'audit SI permet de prendre du recul vis-à-vis de l'écosystème de la DSI, par une vision globale.
Dès lors, on ne devrait pas le positionner comme une source de coût, mais bien comme un outil pratique qui permet d'identifier des sources potentielles de ROI et de gain de temps pour l'entreprise.
Une démarche en deux étapes
Un audit SI se réalise en 2 étapes :
PublicitéOu en sommes-nous ?
Une phase de collecte des données et d'analyse des informations permettant de constater les écarts entre la volonté, le ciblage et les capacités dont l'entreprise dispose.
Cette phase s'organise autour d'ateliers de travail avec les acteurs clés de la DOSI, d'entretiens individuels, et d'analyse des différentes documentations (description des méthodologies de travail, description des processus informatiques, ...).
Où devrions-nous être ?
Une phase de recommandations permettant de mettre en perspective les constats avec les meilleures pratiques du marché.
Chacun des axes de l'analyse est évalué minutieusement en comparaison avec les meilleures pratiques du marché. La note finale permet de matérialiser le degré de force et ou de vulnérabilité sur cet axe.
Le résultat de ces analyses est consolidé dans le rapport d'audit final.
Le plus souvent, ces 2 étapes sont suivies de l'élaboration d'un plan d'action priorisé et partagé avec les acteurs clés de manière à avoir le « Comment y aller ? ».
L'audit SI : ne pas hésiter à l'utiliser régulièrement
L'environnement de la DOSI évolue : le contexte, l'organisation, les hommes ... La situation n'est donc pas figée, par conséquent, il ne faut pas hésiter à revérifier régulièrement la bonne marche de l'ensemble et refaire un audit SI, au moins une fois par an.
Certaines structures vont jusqu'à planifier des audits pluriannuels.
Article rédigé par
Alain Jello, Managing consultant chez Sterwen
Dipômé de Supélec avec une spécialité en Informatique Systèmes et Réseaux, Alain a rejoint le monde du conseil en organisation et management en 2007.
Depuis 6 ans, Alain accompagne les clients sur les thématiques de management des DSI, de réduction des coûts, d'études d'opportunités d'évolution du SI, de pilotage de projets.
Managing Consultant chez SterWen Consulting depuis 2010, il est l'un des piliers de l'équipe en charge de l'offre gouvernance informatique et pilotage budgétaire.
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire